Mục Lục LỜI NÓI ĐẦU Internet ngày nay đã thực sự trở thành một phần không thể thiếu của cuộc sống, nó giúp chúng ta có được thông tin một cách nhanh nhất, trao đổi tin tức với bạn bè, người thân một cách thuận tiện, rẻ tiền nhất.Internet cũng giúp cho các nhà hoạt động kinh doanh có những phương thức làm việc mới, phương thức quản lý mới hiện đại và hữu hiệu.Thực tế cho thấy, hiện nay hầu hết các công ty, các ngân hàng và các tổ chức đã sử dụng Internet như một phần tất yếu cho các mục đích quảng cáo, liên lạc hay ký kết hợp đồng… Tuy nhiên, bên cạnh những lợi ích thiết thực do mạng Internet đem lại, chúng ta cũng không thể không kể đến sự bùng phát mạnh mẽ của các chương trình tấn công với nhiều mục đích khác nhau, lấy cắp thông tin, tấn công làm tê liệt hệ thống, tấn công vì mục đích kinh tế, chính trị hay chỉ đơn giản là sự thử nghiệm kỹ thuật… Các cuộc tấn công ngày càng đa dạng, tổ chức tinh xảo, kỹ thuật tấn công trên các mức từ thấp đến cao của mô hình mạng, từ tầng vật lý cho đến mức ứng dụng. Với những hoạt động 1 truy cập mạng bất cẩn, hay sự thiếu hiểu biết về bảo mật thông tin của người quản trị mạng có thể là nguyên nhân gây ra những thiệt hại không thể lường trước được cả về mặt thời gian cũng như vật chất. Hậu quả không chỉ là mất mát các thông tin nhạy cảm, mà có thể mất toàn bộ dữ liệu hay nghiêm trọng hơn là tê liệt toàn bộ hệ thống. Những thiệt hại kinh tế mà chúng mang lại không nhỏ và không ngừng tăng lên trong những năm qua. Có những thời điểm gây thiệt hại nặng nề cho các nạn nhân mà không dễ dàng có thể khắc phục kịp thời. Do đó rất cần thiết có các chương trình bảo vệ mạng máy tính một cách tổng hợp ngăn chặn tấn công ngay từ mức thấp, cảnh báo các tấn công ngay từ khi nó có ý định mà chưa thể gây tổn hại tới hệ thống của chúng ta. Trong xu hướng hiện nay, vấn đề bảo đảm an ninh cho mạng máy tính đã trở thành một vấn đề quan tâm của các chuyên gia đầu ngành trong lĩnh vực CNTT của Việt Nam cũng như trên thế giới. Được sự hướng dẫn tận tình của TS, em đã chọn đề tài: “Xây dựng phần mềm chặn bắt và phân tích các đặc trưng của gói tin hỗ trợ xử lý cảnh báo xâm nhập và bảo vệ thông tin máy tính trong mạng LAN” cho đồ án tốt nghiệp của mình. Đồ án tập trung nghiên cứu các vấn đề chính sau: - Nghiên cứu mô hình mạng OSI. - Bộ giao thức TCP/IP và các điểm yếu trong hoạt động của giao thức TCP/IP. - Nguyên tắc truyền tin trên mạng và các công cụ chặn bắt, phân tích gói tin trên mạng. - Xây dựng chương trình chặn bắt và phân tích gói tin trên mạng. Do kinh nghiệm làm việc của bản thân cũng như kiến thức về lĩnh vực bảo mật còn nhiều thiếu sót nên đề tài không thể tránh khỏi những sai sót. 2 Em rất mong nhận được sự đóng góp ý kiến của thầy cô giáo và các bạn để đề tài được hoàn thiện. Cuối cùng, em xin chân thành cảm ơn các thầy cô giáo khoa Công nghệ thông tin, đặc biệt là thầy giáo TS Dương Tử Cường đã tận tình giúp đỡ em trong quá trình thực hiện đồ án. CHƯƠNG I : LÝ THUYẾT MẠNG MÁY TÍNH I.1. Khái niệm cơ bản Sự kết hợp của máy tính với các hệ thống truyền thông (communication) đặc biệt là viễn thống (telecommunication) đã tạo ra một sự chuyển biến có tính cách mạng trong vấn đề tổ chức khai thác và sử dụng các hệ thống máy tính. Mô hình tập trung dựa trên các máy tính lớn với phương thức khai thác theo “lô” (batch processing) đã được thay thế bởi một mô hình tổ chức sử dụng mới, trong đó các máy tính đơn lẻ được kết nối lại để cùng thực hiện công việc . Một môi trường làm việc nhiều người sử dụng phân tán đã hình thành cho phép nâng cao hiệu quả khai thác tài nguyên chung từ những vị trí địa lý khác nhau. Các hệ thống như thế được gọi là các mạng máy tính (computernetworks). Mạng máy tính là một tập hợp các máy tính được nối với nhau bởi đường truyền theo một cấu trúc nào đó và thông qua đó các máy tính trao đổi thông tin qua lại cho nhau. 3 Hình 1.1. Mô hình mạng máy tính I.2. Kiến trúc mạng máy tính Kiến trúc mạng máy tính (network architecture) thể hiện cách nối các mạng máy tính với nhau ra sao và tập hợp các quy tắc, quy ước mà tất cả các thực thể tham gia truyền thông trên mạng phải tuân theo để đảm bảo cho mạng hoạt động tốt. Cách nối các máy tính được gọi là hình trạng (topology) của mạng. Còn tập hợp các quy tắc, quy ước truyền thông thì được gọi là giao thức (protocol) của mạng. Topo và giao thức mạng là hai khái niệm rất cơ bản của mạng máy tính. I.3. Topology của mạng Có hai kiểu nối mạng chủ yếu là điểm - điểm (point – to – point) và quảng bá (broadcast hay point – to – multipoint). Theo kiểu điểm - điểm, các đường truyền nối từng cặp nút với nhau và mỗi nút đều có trách nhiệm lưu trữ tạm thời sau đó chuyển tiếp dữ liệu tạm thời sau đó chuyển tiếp dữ liệu đi cho tới đích. Do cách thức làm việc như 4 thế nên mạng này còn gọi là mạng “lưu và chuyển tiếp” (store – and – forward). Hình 1.2. Hình trên đây minh hoạ topo kiểu mạng điểm - điểm Theo kiểu quảng bá, tất cả các nút phân chia chung một đường truyền vật lý. Dữ liệu được gửi đi từ một nút nào đó sẽ có thể được tiếp nhận bởi tất cả các nút còn lại, bởi vậy chỉ ra địa chỉ đích của dữ liệu để mỗi nút căn cứ vào đó để kiểm tra xem dữ liệu có phải dành cho mình hay không? Hình 1.3. Hình trên minh hoạ một số topo mạng kiểu quảng bá I.4. Giao thức mạng Việc trao đổi thông tin, cho dù là đơn giản nhất, cũng đều phải tuân theo những quy tắc nhất định. Ngay cả hai người nói chuyện với nhau muốn cho cuộc nói chuyện có kết quả thí ít nhất cả hai cùng phải ngầm tuân thủ quy tắc: khi người này nói thì người kia phải nghe và ngược lại. Việc truyền tín hiệu trên mạng cũng vậy, cần phải có những quy tắc, quy ước về nhiều mặt, từ khuôn dạng (cú pháp, ngữ nghĩa) của dữ liệu cho tới các thủ tục gửi, 5 loop(chu trình) Star (Hình sao) Tree (Cây) Ring (vòng) Bus (xa lộ) nhận dữ liệu kiểm soát hiệu quả và chất lượng truyền tin và xử lý các lỗi và các sự cố. yêu cầu về quy tắc càng nhiều và phức tạp hơn. Tập hợp tất cả những quy tắc, quy ước đó được gọi là giao thức (protocol) của mạng. Rõ ràng là các mạng có thể sử dụng các giao thức khác nhau tuỳ sự lựa chọn của người thiết kế. Trên thực tế, giao thức phổ biến hiện nay được sử dụng rộng rãi trong mạng Internet cũng như các mạng nội bộ là bộ giao thức TCP/IP. I.5. Mô hình OSI I.5.1. Kiến trúc phân tầng Để giảm độ phức tạp của việc thiết kế và cài đặt mạng, hầu hết các mạng máy tính hiện có đều được phân tích thiết kế theo quan điểm phân tầng (layering). Mỗi hệ thống thành phần của mạng được xem như là một cấu trúc đa tầng, trong đó mỗi tầng được xây trên tầng trước nó. Số lượng tầng và chức năng của mỗi tầng là phụ thuộc vào các nhà thiết kế. Nguyên tắc của kiến trúc mạng phân tầng là : mỗi hệ thống trong một mạng đều có cấu trúc tầng (số lượng tầng, chức năng của mỗi tầng là như nhau). Sau khi xác định số lượng tầng và chức năng của mỗi tầng thì công việc quan trọng tiếp theo là định nghĩa mối quan hệ (giao diện) giữa hai tầng đồng mức ở hai hệ thống kết nối với nhau. Trong thực tế dữ liệu không được truyền trực tiếp từ tầng thứ i của hệ thống này sang tầng thứ i của hệ thống kia và ngược lại (trừ đối với tầng thấp nhất trực tiếp sử dụng đường truyền vật lý để truyền các xâu bít (0,1) từ hệ thống này sang hệ thống khác). Ở đây quy ước dữ liệu ở bên hệ thống gửi (sender) được truyền sang hệ thống nhận (receiver) bằng đường truyền vật lý và cứ thế đi ngược lên các tầng trên. Như vậy giữa 2 hệ thống kết nối với nhau chỉ có tầng thấp nhất mới có liên kết vật lý, còn ở các tầng cao hơn chỉ là những liên kết logic (hay liên kết ảo) được đưa vào để hình thức hoá các hoạt 6 động của mạng thuận tiện cho việc thiết kế và cài đặt các phần mềm truyền thông. I.5.2. Mô hình OSI Khi thiết kế, các nhà thiết kế tự do lựa chọn kiến trúc mạng riêng của mình. Từ đó dẫn đến tình trạng không tương thích giữa các mạng: phương pháp truy nhập đường truyền khác nhau, sử dụng họ giao thức khác nhau sự không tương thích đó làm trở ngại cho sự tương tác của người sử dụng các mạng khác nhau. Nhu cầu trao đổi thông tin càng lớn thì trở ngại đó càng không thể chấp nhận được đối với người sử dụng. Năm 1984, ISO đã xây dựng xong mô hình tham chiếu cho việc nối kết các hệ thống mở (Reference Model For Open Systems Interconnection hay OSI Reference Model). Mô hình này được dùng làm cơ sở để nối kết các hệ thống mở phục vụ cho các ứng dụng phân tán. Từ “mở” ở đây nói lên khả năng hai hệ thống có thể nối kết để trao đổi thông tin với nhau nếu chúng tuân thủ mô hình tham chiếu và các chuẩn liên quan. Sau đây là các nguyên tắc mà ISO quy định dùng trong quá trình xây dựng mô hình OSI : - Không định nghĩa quá nhiều tầng để việc xác định và ghép nối các tầng không quá phức tạp. - Tạo các ranh giới các tầng sao cho việc giải thích các phục vụ và số các tương tác qua lại hai tầng là nhỏ nhất. - Tạo các tầng riêng biệt cho các chức năng khác biệt nhau hoàn toàn về kỹ thuật sử dụng hoặc quá trình thực hiên. - Các chức năng giống nhau được đặt trong cùng một tầng. - Lựa chọn ranh giới các tầng tại các điểm mà những thử nghiệm trong quá khứ thành công. 7 - Các chức năng được xác định sao cho chúng có thể dễ dàng xác định lại, và các nghi thức của chúng có thể thay đổi trên mọi hướng. - Tạo ranh giới các tầng mà ở đó cần có những mức độ trừu tượng khác nhau trong việc sử dụng số liệu. - Cho phép thay đổi các chức năng hoặc giao thức trong tầng không ảnh hưởng đến các tầng khác. - Tạo các ranh giới giữa mỗi tầng với tầng trên và dưới nó. 8 SESSION Các giao thức tầng phiên APPLICATION Các giao thức tầng ứng dụng NETWORK Các giao thức tầng mạng PRESENTATION Các giao thức tầng trình diễn TRANSPORT Các giao thức tầng giao vận DATA-LINK Các giao thức tầng liên kết dữ liệu PHYSICAL Các giao thức tầng vật lý Hình 1.4. Mô hình OSI bẩy tầng Trên mạng Internet hiện nay, bộ giao thức TCP/IP sử dụng mô hình mạng bốn tầng, bao gồm các tầng: ứng dụng, giao vận, internet, và tầng vật lý. Mỗi tầng trong mô hình bốn tầng này tương ứng với một hoặc nhiều tầng trong mô hình OSI. Dưới đây là hình ảnh ánh xạ của mô hình OSI bẩy tầng với mô hình bốn tầng được sử dụng trong mạng Internet hiện nay. Mô hình OSI Mô hình cho giao thức TCP/IP Application Application Presentation Session Transport Transport Network Internet Data-link Network Interface Physical Hình 1.5. Hình ánh xạ của mô hình OSI bảy tầng 9 CHƯƠNG II: CÁC GIAO THỨC HOẠT ĐỘNG PHỔ BIẾN TRONG HOẠT ĐỘNG MẠNG MÁY TÍNH II.1. Giao thức IP II.1.1. Tổng quan về giao thức IP Mục đích chính của giao thức IP là kết nối các mạng con thành liên mạng. Giao thức IP nằm trong tầng mạng(network) của mô hình OSI. Giao thức IP là giao thức kiểu không liên kết(connectionless), tức là không có giai đoạn thiết lập liên kết trước khi truyền dữ liệu. Khi một máy tính tham gia vào trao đổi dữ liệu trong mạng, nó sử dụng một bộ điều hợp mạng(network adapter). Mỗi một bộ điều hợp mạng này được gắn với một địa chỉ vật lý cố định và duy nhất, do nhà sản xuất quyết định. Trong mạng cục bộ, những nơi chỉ chú trọng vào phần cứng sẽ vận chuyển dữ liệu theo mạng vật lý nhờ sử dụng địa chỉ vật lý của bộ điều hợp. Có nhiều loại mạng và mỗi mạng có cách thức vận chuyển dữ liệu khác nhau. Ví dụ, một mạng Ethernet, một máy tính gửi thông tin trực tiếp tới bộ phận trung gian. Bộ điều phối mạng của mỗi máy tính sẽ lắng nghe tất cả các tín hiệu truyền qua lại trong mạng cục bộ để xác định thông tin nào có địa chỉ nhận giống của mình. 10 [...]... khiển và xác minh Để đạt được mức an toàn này hệ thống phải chứa tất cả các thành phần của các mức an toàn thấp hơn Phải dùng toán học để xác 34 minh tính đúng đắn của bản thiết kế và phải thực hiện phân phối tin cậy cũng như phân tích các kênh bí mật Phân phối tin cậy (Trusted distribution) có nghĩa là phần cứng và phần mềm đã được bảo vệ trong quá trình vận chuyển để ngăn chặn sự nhòm ngó của các hệ... cấp các giải pháp mạng trên thế giới 31 CHƯƠNG III : CÁC VẤN ĐỀ AN NINH VÀ KỸ THUẬT CHẶN BẮT GÓI TIN BẰNG WINCAP VÀ THƯ VIỆN PACKETX III.1 Các mức tiêu chuẩn an ninh Các tiêu chuẩn an ninh máy tính này gọi là các nguyên tắc để đánh giá tiêu chuẩn độ tin cậy của máy tính (Trusted Computer Standards Evaluation Criteria) Theo các tiêu chuẩn này, người ta sử dụng rất nhiều các mức an ninh để bảo vệ phần. .. kết nối của Server, nó sẽ đáp trả lại một gói tin có cờ SYN và cờ ACK để thông báo cho Server biết rằng nó đã nhận được gói tin chấp nhận kết nối từ Server, và đặt giá trị ACKnowledgement Number bằng INS +1 Khi kết nối đã được xác lập, các máy tính có thể gửi dữ liệu cho nhau, và tất cả các gói tin của hai máy tính gửi đi đều phải có cờ ACK để xác nhận đã nhận gói tin trước đó II.2.4 Bốn bước bắt tay... và các giải pháp bảo vệ mạng III.2.1.Tổng hợp các điểm yếu của mạng máy tính • Thiếu điều khiển truy cập bộ định tuyến và lập cấu hình sai ACL sẽ cho phép rò rỉ thông tin thông qua các giao thức ICMP, IP, NetBIOS, dẫn đến truy cập bất hợp pháp các dịch vụ trên máy phục vụ • Điểm truy cập từ xa không được theo dõi và bảo vệ sẽ là phương tiện truy cập dễ dàng nhất đối với mạng công ty • Rò rỉ thông tin. .. chỉ IP, vì trong cùng một lúc không phải các host hoạt động đồng thời với nhau, do vậy sẽ có một số địa chỉ IP bị thừa Để khắc phục tình trạng đó, dịch vụ DHCP đưa ra để cấp phát các địa chỉ IP động trong mạng 27 Trong mạng máy tính NT khi một máy phát ra yêu cầu về các thông tin của TCPIP thì gọi là DHCP client, còn các máy cung cấp thông tin của TCPIP gọi là DHCP server Các máy DHCP server bắt buộc... danh các máy tính trong mạng Mỗi giao diện trong một máy tính có hỗ trợ giao thức IP đều phải được gán 1 địa chỉ IP (một máy tính có thể gắn với nhiều mạng do vậy có thể có nhiều địa chỉ IP) Địa chỉ IP gồm 2 phần: địa chỉ mạng (netid) và địa chỉ máy (hostid) Mỗi địa chỉ IP có độ dài 32 bits được tách thành 4 vùng (mỗi vùng 1 byte), có thể biểu thị dưới dạng thập phân, bát phân, thập lục phân hay nhị phân. .. không thể tin cậy được Phần cứng không được bảo vệ gì cả, hệ điều hành thì dễ dàng bị xâm hại và cũng chẳng tồn tại việc xác minh người sử dụng cùng các quyền của họ được truy nhập thông tin lưu trữ trong máy tính Thông thường mức an toàn này thuộc về các hệ điều hành như MSDOS, MS-Windows, và các hệ Apple Macintosh 7.x b)Mức C1 Mức C có hai mức con là C1 và C2 Mức C1 còn được gọi là Hệ thống bảo vệ an... vấn đề an toàn hiện có trên các hệ thống Unix thông thường Phần cứng được bảo vệ ở một mức độ nhất định nào đó và không dễ dàng bị xâm hại mặc dù khả năng này vẫn không bị loại trừ Người sử dụng phải chứng minh đựơc chính họ cho hệ thống qua tên truy nhập và mật khẩu Thông qua việc 32 này hệ thống xác định các quyền truy nhập của mỗi người sử dụng đối với các chương trình phần mềm và thông tin của. .. SYN|ACK: Sự kết hợp hai cờ SYN và ACK được sử dụng để thông báo lại cho máy tính khác biết đã nhận được gói tin SYN trước đó và gửi lại thông tin chấp nhận kết nối • FIN|ACK: Hai cờ FIN và ACK được liên kết để thông báo đã nhận được gói tin có cờ FIN trước đó và hoàn thành việc đóng kết nối • URG: Cờ này hiếm khi được sử dụng trong kết nối thông thường Nó được sử dụng để thông báo có một vùng dữ liệu khẩn... rằng các địa chỉ IP được dùng để định danh các host và mạng ở tầng mạng của mô hình OSI, và chúng không phải là các địa chỉ vật lý (hay địa chỉ MAC) của các trạm trên đó một mạng cục bộ (Ethernet, Token Ring) Trên một mạng cục bộ hai trạm chỉ có thể liên lạc với nhau nếu chúng biết địa chỉ vật lý của nhau Như vậy vấn đề đặt ra là phải tìm được ánh xạ giữa địa chỉ IP (32 bits) và địa chỉ vật lý của một . dẫn tận tình của TS, em đã chọn đề tài: “Xây dựng phần mềm chặn bắt và phân tích các đặc trưng của gói tin hỗ trợ xử lý cảnh báo xâm nhập và bảo vệ thông tin máy tính trong mạng LAN” cho đồ. Nguyên tắc truyền tin trên mạng và các công cụ chặn bắt, phân tích gói tin trên mạng. - Xây dựng chương trình chặn bắt và phân tích gói tin trên mạng. Do kinh nghiệm làm việc của bản thân cũng như. đó và thông qua đó các máy tính trao đổi thông tin qua lại cho nhau. 3 Hình 1.1. Mô hình mạng máy tính I.2. Kiến trúc mạng máy tính Kiến trúc mạng máy tính (network architecture) thể hiện cách